[发明专利]一种监控程序的方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种监控程序的方法、装置、电子设备及存储介质，涉及计算机网络安全领域，能够在宿主机上实现对样本程序更全面的监控。所述监控程序的方法，应用于宿主机，该方法包括：判断当前客户机中样本程序是否执行到的分支节点；当客户机中的样本程序执行到分支节点时，获取所述分支节点对应分支状态信息，所述分支状态信息包括多个分支对应的跳转条件以及跳转地址；根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。本发明适用于对客户机中运行的样本程序的监控。

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种监控程序的方法、装置、电子设备及存储介质。

背景技术

沙箱(Sandboxie)，又名沙盘，是一种按照安全策略限制程序行为的执行环境，它允许用户在沙箱环境中运行程序，运行所产生的变化可以随后删除。通过在沙箱环境中运行程序，可以检测程序中是否存在恶意行为，当发现程序中存在恶意行为时可以发出告警。

在实现本发明的过程中，发明人发现目前在沙箱系统对恶意软件的分析中，当样本程序在沙箱中运行时，如果该样本程序的执行逻辑中存在选择分支，但沙箱系统只能根据当前的执行环境选择一个分支进行执行，其余分支的逻辑就不会被执行，出现对样本程序的漏检，就会遗漏掉其余分支上的重要行为。

发明内容

有鉴于此，本发明实施例提供一种监控程序的方法、装置、电子设备及存储介质，能够在宿主机上实现对样本程序更全面的监控。

第一方面，本发明实施例提供一种监控程序的方法，应用于宿主机，该方法包括：判断当前客户机中样本程序是否执行到的分支节点；当客户机中的样本程序执行到分支节点时，获取所述分支节点对应分支状态信息，所述分支状态信息包括多个分支对应的跳转条件以及跳转地址；根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。

结合第一方面，在第一方面的第一种实施方式中，所述判断当前是否执行到客户机中样本程序的分支节点，包括：获取当前被调用的应用程序接口API以及样本程序的地址空间；当调用所述API的函数地址位于所述样本程序的地址空间内，且所述API为第一类API时，确定所述客户机中的样本程序执行到分支节点，所述第一类API为样本程序中执行分支逻辑时被调用的API。

结合第一方面，在第一方面的第二种实施方式中，所述判断当前是否执行到客户机中样本程序的分支节点，包括：检测当前运行的应用程序是否为样本程序；在当前运行的应用程序为样本程序，且截获的客户机当前执行的指令为第一类指令时，确定所述客户机中的样本程序执行到分支节点，所述第一类指令为样本程序中用于执行分支逻辑的选择指令。

结合第一方面、第一方面的第一种或第二种实施方式，在第一方面的第三种实施方式中，所述判断当前是否执行到客户机中样本程序的分支节点之前，还包括：建立样本程序需要监控的分支选择行为的集合，所述集合包括第一类API和/或第一类指令。

结合第一方面、第一方面的第一种或第二种实施方式，在第一方面的第四种实施方式中，所述根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成之前，还包括：当客户机中的样本程序执行到分支节点时，保存当前指令执行现场信息，所述指令执行现场信息包括指针地址、栈地址以及寄存器的当前状态；所述根据所述分支状态信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成，包括：根据所述分支状态信息以及所述当前指令执行现场信息，执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。